ВМваре НСКС за најмлађе. Део 6: Подешавање ВПН-а

Први део. уводни
Други део. Конфигурисање заштитног зида и НАТ правила
Трећи део. Конфигурисање ДХЦП-а
Четврти део. Подешавање рутирања
Пети део. Подешавање балансера оптерећења

Данас ћемо погледати опције ВПН конфигурације које нам нуди НСКС Едге.

Генерално, ВПН технологије можемо поделити на два кључна типа:

• ВПН од локације до локације. Најчешћа употреба ИПСец-а је стварање безбедног тунела, на пример, између мреже главне канцеларије и мреже на удаљеном месту или у облаку.
• ВПН за даљински приступ. Користи се за повезивање појединачних корисника са корпоративним приватним мрежама користећи ВПН клијент софтвер.

НСКС Едге нам омогућава да користимо обе опције.
Конфигурисаћемо помоћу тестне клупе са два НСКС Едге, Линук сервера са инсталираним демоном ракун и Виндовс лаптоп за тестирање ВПН-а за даљински приступ.

ИПсец

1. У интерфејсу вЦлоуд Дирецтор идите на одељак Администрација и изаберите вДЦ. На картици Едге Гатеваис изаберите Едге који нам је потребан, кликните десним тастером миша и изаберите Едге Гатеваи Сервицес.
   
2. У интерфејсу НСКС Едге идите на картицу ВПН-ИПсец ВПН, затим на одељак ИПсец ВПН локације и кликните на + да бисте додали нову локацију.

   

3. Попуните обавезна поља:
   • omogućeno – активира удаљену локацију.
   • ПФС – осигурава да сваки нови криптографски кључ није повезан ни са једним претходним кључем.
   • Локални ИД и локална крајња тачкат је спољна адреса НСКС Едге-а.
   • Локална подмрежас - локалне мреже које ће користити ИПсец ВПН.
   • ИД и крајња тачка пеер-а – адреса удаљене локације.
   • Пеер подмреже – мреже које ће користити ИПсец ВПН на удаљеној страни.
   • Алгоритам шифровања – алгоритам за шифровање тунела.

   
   

   • Аутентификација - како ћемо аутентификовати вршњака. Можете користити унапред дељени кључ или сертификат.
   • Унапред дељени кључ - наведите кључ који ће се користити за аутентификацију и мора да се подудара са обе стране.
   • Диффие Хеллман Гроуп – алгоритам размене кључева.

   Након што попуните обавезна поља, кликните на Задржи.

   

4. Готово.

   

5. Након што додате сајт, идите на картицу Статус активације и активирајте ИПсец услугу.

   

6. Након што су подешавања примењена, идите на картицу Статистика -> ИПсец ВПН и проверите статус тунела. Видимо да се тунел подигао.

   

7. Проверите статус тунела са Едге гатеваи конзоле:
   • схов сервице ипсец - проверите статус услуге.

     

   • схов сервице ипсец сите - Информације о стању сајта и договореним параметрима.

     

   • прикажи услугу ипсец са - провери статус безбедносног удружења (СА).

     

8. Провера везе са удаљеном локацијом:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Конфигурационе датотеке и додатне команде за дијагностику са удаљеног Линук сервера:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Све је спремно, ИПсец ВПН од локације до локације је покренут и ради.

   У овом примеру смо користили ПСК за пеер аутентификацију, али је могућа и аутентификација сертификата. Да бисте то урадили, идите на картицу Глобална конфигурација, омогућите потврду аутентичности сертификата и изаберите сам сертификат.

   Поред тога, у подешавањима сајта, мораћете да промените метод аутентификације.

   
   
   
   
   Напомињем да број ИПсец тунела зависи од величине распоређеног Едге Гатеваи-а (о томе прочитајте у нашем први чланак).

   

ССЛ ВПН

ССЛ ВПН-Плус је једна од ВПН опција за даљински приступ. Омогућава појединачним удаљеним корисницима да се безбедно повежу на приватне мреже иза НСКС Едге Гатеваи-а. Шифровани тунел у случају ССЛ ВПН-плус успоставља се између клијента (Виндовс, Линук, Мац) и НСКС Едге.

1. Почнимо са постављањем. На контролној табли услуге Едге Гатеваи идите на картицу ССЛ ВПН-Плус, а затим на Подешавања сервера. Бирамо адресу и порт на којима ће сервер слушати долазне везе, омогућавамо евидентирање и бирамо потребне алгоритме шифровања.

   
   
   Овде такође можете променити сертификат који ће сервер користити.

   

2. Након што је све спремно, укључите сервер и не заборавите да сачувате подешавања.

   

3. Затим морамо да поставимо скуп адреса које ћемо издати клијентима након повезивања. Ова мрежа је одвојена од било које постојеће подмреже у вашем НСКС окружењу и не мора да се конфигурише на другим уређајима на физичким мрежама, осим на рутама које упућују на њу.

   Идите на картицу ИП групе и кликните на +.

   

4. Изаберите адресе, маску подмреже и мрежни пролаз. Овде такође можете променити подешавања за ДНС и ВИНС сервере.

   

5. Добијени базен.

   

6. Сада додајмо мреже којима ће корисници који се повезују на ВПН имати приступ. Идите на картицу Приватне мреже и кликните на +.

   

7. Попуњавамо:
   • Мрежа - локална мрежа којој ће удаљени корисници имати приступ.
   • Шаљи саобраћај, има две опције:
     - преко тунела - слање саобраћаја у мрежу кроз тунел,
     — заобићи тунел—шаљи саобраћај на мрежу директно заобилазећи тунел.
   • Омогући ТЦП оптимизацију - проверите да ли сте изабрали опцију преко тунела. Када је оптимизација омогућена, можете одредити бројеве портова за које желите да оптимизујете саобраћај. Саобраћај за преостале портове на тој мрежи неће бити оптимизован. Ако нису наведени бројеви портова, оптимизује се саобраћај за све портове. Прочитајте више о овој функцији овде.

   

8. Затим идите на картицу Аутхентицатион и кликните на +. За аутентификацију ћемо користити локални сервер на самом НСКС Едге-у.

   

9. Овде можемо изабрати политике за генерисање нових лозинки и конфигурисати опције за блокирање корисничких налога (на пример, број поновних покушаја ако је лозинка унета погрешно).

   
   
   

10. Пошто користимо локалну аутентификацију, морамо да креирамо кориснике.

    

11. Поред основних ствари као што су име и лозинка, овде можете, на пример, забранити кориснику да промени лозинку или, обрнуто, натерати га да промени лозинку следећи пут када се пријави.

    

12. Након што додате све потребне кориснике, идите на картицу Инсталациони пакети, кликните на + и креирајте сам инсталатер који ће удаљени запослени преузети ради инсталације.

    

13. Притисните +. Изаберите адресу и порт сервера на који ће се клијент повезати и платформе за које желите да генеришете инсталациони пакет.

    
    
    Испод у овом прозору можете одредити подешавања клијента за Виндовс. Изаберите:

    • старт цлиент при логовању – ВПН клијент ће бити додат покретању на удаљеној машини;
    • креирање иконе на радној површини - креираће икону ВПН клијента на радној површини;
    • валидација сертификата безбедности сервера - потврдиће сертификат сервера након повезивања.
      Подешавање сервера је завршено.

    

14. Сада преузмимо инсталациони пакет који смо креирали у последњем кораку на удаљени рачунар. Приликом подешавања сервера навели смо његову спољну адресу (185.148.83.16) и порт (445). Управо на ову адресу треба да уђемо у веб претраживач. У мом случају јесте 185.148.83.16: КСНУМКС.

    У прозору за ауторизацију морате унети корисничке акредитиве које смо раније креирали.

    

15. Након ауторизације, видимо листу креираних инсталационих пакета доступних за преузимање. Направили смо само један - ми ћемо га преузети.

    

16. Кликнемо на везу, преузимање клијента почиње.

    

17. Распакујте преузету архиву и покрените инсталатер.

    

18. Након инсталације, покрените клијент, у прозору за ауторизацију кликните на Логин.

    

19. У прозору за верификацију сертификата изаберите Да.

    

20. Уносимо акредитиве за претходно креираног корисника и видимо да је веза успешно завршена.

    
    
    

21. Проверавамо статистику ВПН клијента на локалном рачунару.

    
    
    

22. У Виндовс командној линији (ипцонфиг / алл) видимо да се појавио додатни виртуелни адаптер и постоји веза са удаљеном мрежом, све ради:

    
    
    

23. И на крају, проверите са Едге Гатеваи конзоле.

    

Л2 ВПН

Л2ВПН ће бити потребан када треба да комбинујете неколико географски
дистрибуиране мреже у један домен емитовања.

Ово може бити корисно, на пример, приликом миграције виртуелне машине: када се ВМ пресели у другу географску област, машина ће задржати подешавања ИП адресирања и неће изгубити везу са другим машинама које се налазе у истом Л2 домену са њим.

У нашем тестном окружењу, повезаћемо две локације једна са другом, зваћемо их А и Б, респективно. Имамо два НСКС-а и две идентично креиране рутиране мреже повезане са различитим ивицама. Машина А има адресу 10.10.10.250/24, машина Б има адресу 10.10.10.2/24.

1. У вЦлоуд Дирецтор, идите на картицу Администрација, идите на ВДЦ који нам је потребан, идите на картицу Орг ВДЦ Нетворкс и додајте две нове мреже.

   

2. Изаберите тип рутиране мреже и повежите ову мрежу за наш НСКС. Ставили смо поље за потврду Креирај као подинтерфејс.

   

3. Као резултат, требало би да добијемо две мреже. У нашем примеру, они се зову нетворк-а и нетворк-б са истим подешавањима мрежног пролаза и истом маском.

   
   
   

4. Сада идемо на подешавања првог НСКС-а. Ово ће бити НСКС на који је прикључена мрежа А. Деловаће као сервер.

   Враћамо се на НСк Едге интерфејс / Идите на картицу ВПН -> Л2ВПН. Укључујемо Л2ВПН, бирамо режим рада сервера, у Глобалним подешавањима сервера наводимо спољну НСКС ИП адресу на којој ће порт за тунел слушати. Подразумевано, утичница ће се отворити на порту 443, али то се може променити. Не заборавите да изаберете подешавања шифровања за будући тунел.

   

5. Идите на картицу Сервер Ситес и додајте пеер.

   

6. Укључујемо вршњака, постављамо име, опис, ако је потребно, постављамо корисничко име и лозинку. Ови подаци ће нам бити потребни касније приликом подешавања клијентског сајта.

   У Егресс Оптимизатион Гатеваи Аддресс постављамо адресу мрежног пролаза. Ово је неопходно да не би дошло до сукоба ИП адреса, јер капија наших мрежа има исту адресу. Затим кликните на дугме СЕЛЕЦТ СУБ-ИНТЕРФАЦЕС.

   

7. Овде бирамо жељени подинтерфејс. Чувамо подешавања.

   

8. Видимо да се новокреирани клијентски сајт појавио у подешавањима.

   

9. Сада пређимо на конфигурисање НСКС-а са стране клијента.

   Идемо на НСКС страну Б, идите на ВПН -> Л2ВПН, омогућите Л2ВПН, подесите режим Л2ВПН на режим клијента. На картици Цлиент Глобал поставите адресу и порт НСКС А, које смо раније навели као ИП адреса за слушање и порт на страни сервера. Такође је неопходно подесити исте поставке шифровања тако да буду конзистентне када се тунел подигне.

   
   
   Померамо се испод, бирамо подинтерфејс кроз који ће се изградити тунел за Л2ВПН.
   У Егресс Оптимизатион Гатеваи Аддресс постављамо адресу мрежног пролаза. Подесите кориснички ИД и лозинку. Одаберемо подинтерфејс и не заборавимо да сачувамо подешавања.

   

10. У ствари, то је све. Подешавања на страни клијента и сервера су скоро идентична, са изузетком неколико нијанси.
11. Сада можемо да видимо да је наш тунел функционисао тако што ћемо отићи на Статистике -> Л2ВПН на било ком НСКС-у.

    

12. Ако сада одемо на конзолу било ког Едге Гатеваи-а, видећемо на сваком од њих у арп табели адресе оба ВМ-а.

    

То је све о ВПН-у на НСКС Едге-у. Питајте ако нешто није јасно. То је такође последњи део серије чланака о раду са НСКС Едге-ом. Надамо се да су били од помоћи 🙂

Извор: ввв.хабр.цом